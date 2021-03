Das auf DevSecOps spezialisierte Unternehmen Sonatype hat die Übernahme von MuseDev angekündigt, das eine Cloud-native Plattform zur Sourcecodeanalyse anbietet. Eine erste Integration in das Portfolio rund um Sonatype Nexus ist bereits für das Frühjahr geplant.

Sonatype hat sich auf die Supply-Chain-Automatisierung spezialisiert und bietet mit dem Repository-Manager Nexus eine DevSecOps-Plattform an, mit der sich Securitytests in die Continuous-Delivery-Pipeline integrieren lassen. Kurz vor der Bekanntmachung der Übernahme hat Sonatype Version 3.30 von Nexus Repository Pro veröffentlicht.

Eine Pipeline für die Codeanalyse

MuseDev bietet ebenfalls eine Plattform an, die auf kontinuierliche Tests ausgerichtet ist. Das Unternehmen bezeichnet Muse als Continuous-Assurance-Plattform. Das auf den Cloud-nativen Einsatz ausgelegte Produkt lässt sich direkt an Code-Repositories anbinden und überprüft im Anschluss sämtliche Pull Requests automatisiert auf Bugs.

Muse arbeitet mit diversen Open-Source-Analysetools zusammen. (Bild: MuseDev)

Eine Pipeline zum Testen des Codes kann diverse Open-Source-Analysetools einbinden, die von einfachen Lintern wie ESLint für JavaScript und Staticcheck für Go bis zu Tools für tiefere statische Analyse und das Aufspüren von Schwachstellen reichen. Zu den Werkzeugen, die sich in die Pipelines integrieren lassen, gehören Pyre, FindSecBugs, Infer, Semgrep, Checkov, ShelCheck, Bandit, Brakeman, Rubocop, MDL und PMD.

Mehr zum Thema Heise präsentiert den Continuous Testing Day am 4. Mai 2021

Polyglotte Untersuchung

Muse untersucht Code in Java, JavaScript, Python, .NET, Go und Ruby. Auf Seite der Versionsverwaltungsplattformen arbeitet es mit GitHub, GitLab und Bitbucket zusammen. MuseDev bietet sowohl ein kommerzielles Produkt als auch eine kostenfreie Variante an. Letztere zielt auf die Analyse von Code in öffentlichen Repositories, während erstere neben zusätzlichem Support unbegrenzte private Repositories untersucht. Ein zusätzliches Enterprise-Produkt befindet sich derzeit in der privaten Betaphase.

Weitere Details lassen sich der Ankündigung von MuseDev und dem Sonatype-Blog entnehmen, die jedoch beide keine Angaben zu den genauen Konditionen machen.

(rme)